テーブルの理解
依存関係グラフでは、直接的および間接的 (推移的) の依存関係に対してデータを送信するさまざまな方法がサポートされています。 「依存関係グラフが依存関係を認識する方法」を参照してください。
次の表に示します。
- 静的推移的依存関係、Dependabotグラフ ジョブ (現在はGitHub Enterprise Serverでは使用できません)、自動依存関係の送信列には、データを送信するためのサポートされているメソッドが示されています。
- 静的 推移的依存関係 列は、静的分析によって、そのエコシステム内の依存パッケージの
directラベルとtransitiveラベルが追加されるかどうかを示します。
Dependabot グラフ ジョブ**列は、Dependabot独自のジョブ インフラストラクチャを使用して依存関係グラフを生成できるかどうかを示します。 サポートされている場合、このメソッドは依存関係の自動送信よりも優先されます。 「[AUTOTITLE](/code-security/concepts/supply-chain-security/dependency-graph-data#dependabot-graph-jobs)」を参照してください。
- [推奨されるファイル] 列では、すべての直接依存関係とすべての間接依存関係に使用されるバージョンを明示的に定義する形式が提案されます。 これらのファイルは、ビルドに含まれるバージョンにパッケージのバージョンをロックし、Dependabot が直接依存関係と間接依存関係の両方で脆弱なバージョンを見つけられるようにします。
サポートされているパッケージ エコシステム
| パッケージ マネージャー | 言語 | 静的な推移的依存関係 |
Dependabot グラフジョブ | 依存関係の自動送信 | 推奨ファイル | 追加ファイル |
| --- | --- | --- | --- | --- | --- | --- |
| |
| Bazel | Starlark | | | |
MODULE.bazel、WORKSPACE |
MODULE.bazel.lock、maven_install.json、*.MODULE.bazel |
| |
| 貨物 | Rust | | | | Cargo.lock | Cargo.toml |
| Composer | PHP | | | | composer.lock | composer.json |
| NuGet | .NET言語 (C#、F#、VB)、C++ | | | |
.csproj、.vbproj、.nuspec、.vcxproj、.fsproj | packages.config |
| GitHub Actions ワークフロー | YAML | | | |
.yml、.yaml | |
| Go モジュール | Go | | | | go.mod| |
| Gradle | Java | | | | | |
| |
| ジュリア | ジュリア | | | | Manifest.toml | Project.toml |
| |
| Maven | Java、Scala | | | | pom.xml | |
| npm | JavaScript | | | | package-lock.json | package.json|
| |
| OpenTofu | HCL | | | | .terraform.lock.hcl |
.tf、.tofu |
| |
| pip | Python | | | |
requirements.txt、pipfile.lock |
pipfile、setup.py |
| pnpm | JavaScript | | | | pnpm-lock.yaml | package.json |
| pub | Dart | | | | pubspec.lock | pubspec.yaml |
| 詩 | Python | | | | poetry.lock | pyproject.toml |
| RubyGems | Ruby | | | | Gemfile.lock |
Gemfile、*.gemspec |
| Swift パッケージ マネージャー | Swift | | | | Package.resolved | |
| Yarn | JavaScript | | | | yarn.lock | package.json |
メモ
*
setup.py ファイル内でPythonの依存関係を一覧表示した場合、プロジェクト内のすべての依存関係を解析して一覧表示できない可能性があります。
*
GitHub Actions ワークフローをマニフェストとして認識するには、リポジトリの .github/workflows/ ディレクトリに配置する必要があります。 構文 jobs[*].steps[*].uses または jobs.<job_id>.uses を使用して参照されるアクションまたはワークフローは、依存関係として解析されます。 詳しくは、「GitHub Actions のワークフロー構文」をご覧ください。
*
GitHub Actions、アラートは、SHA バージョン管理ではなく、セマンティック バージョン管理を使用するアクションに対してのみ生成されます。 詳細については、 Dependabot アラートについて と GitHub Dependabot のバージョンアップデートについて を参照してください。
コミュニティが維持するエコシステム
次のエコシステムは、アップストリームコミュニティの保守担当者によって維持されています。 GitHub は、 Dependabot をこれらのエコシステムと統合しますが、直接管理することはありません。
| エコシステム | 管理者 |
|---|---|
| ジュリア | Julia コミュニティ |
| OpenTofu | OpenTofu コミュニティ |
| pub | ダート コミュニティ |